Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Security: Neuer Bot nistet sich im…

IAStorIcon.exe

  1. Thema

Neues Thema Ansicht wechseln


  1. IAStorIcon.exe

    Autor: Hassashin 15.02.13 - 00:28

    Das kann ja lustig werden in den nächsten Tagen, wenn User mit Intel-Chipsätzen ihren Taskmanager durchsuchen und "HUUUUUCH!, ich bin infiziert!" schreien. Man sollte nämlich im Artikel vielleicht noch erwähnen, dass die Datei "C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" zum RST-Treiber für SATA-/RAID-Platten gehört.

    Wahrscheinlich werden nach der unvollständigen Golem-Meldung viele in Panik die Datei samt Ordner erstmal löschen oder in Quaratäne stecken und sich anschließend wundern, wenn ihr System nicht mehr rund läuft. Was dann natürlich erst recht als Hinweis/Beweis für einen Trojanerfund gedeutet wird.

    Ich möchte in den nächsten Tagen kein Telefonsupporter bei Intel sein.

    Gruß
    Hassashin

    --
    Lebenslanges Arbeitsverbot für alle bei vollem Lohnausgleich!

  2. Re: IAStorIcon.exe

    Autor: Endwickler 15.02.13 - 05:50

    Hassashin schrieb:
    --------------------------------------------------------------------------------
    > Das kann ja lustig werden in den nächsten Tagen, wenn User mit
    > Intel-Chipsätzen ihren Taskmanager durchsuchen und "HUUUUUCH!, ich bin
    > infiziert!" schreien. Man sollte nämlich im Artikel vielleicht noch
    > erwähnen, dass die Datei "C:\Program Files (x86)\Intel\Intel(R) Rapid
    > Storage Technology\IAStorIcon.exe" zum RST-Treiber für SATA-/RAID-Platten
    > gehört.
    >
    > Wahrscheinlich werden nach der unvollständigen Golem-Meldung viele in Panik
    > die Datei samt Ordner erstmal löschen oder in Quaratäne stecken und sich
    > anschließend wundern, wenn ihr System nicht mehr rund läuft. Was dann
    > natürlich erst recht als Hinweis/Beweis für einen Trojanerfund gedeutet
    > wird.
    >
    > Ich möchte in den nächsten Tagen kein Telefonsupporter bei Intel sein.

    "gestartet ohne eigenen Prozess oder Thread." klingt jedenfalls merkwürdig, könnte aber passieren, wenn der Code als ... nein, hm, dann wäre er auch ein Thread.



    3 mal bearbeitet, zuletzt am 15.02.13 06:00 durch Endwickler.

  3. Re: IAStorIcon.exe

    Autor: Hassashin 15.02.13 - 06:06

    Endwickler schrieb:

    > Hm, ich hatte gelesen, dass es keine Datei auf der Platte ist, wie sollte
    > man sie dann löschen?
    > Falls es jedoch eine Datei im Dateisystem eines Datenträgers gäbe, dann
    > wäre das doch eine Falschbeschreibung im Artikel.

    Nö, steht doch groß und breit da:

    | Sie legen die ausführbare Datei Taskmgr.exe, die in Scode.dll eingebettet ist, in
    | einem Temp-Ordner ab und laden eine weitere Datei namens Explorer.exe herunter,
    | die wiederum als IAStorIcon.exe im Autostart-Ordner abgelegt wird.
    | [...]
    | Die Datei IAStorIcon.exe übernehme dabei Funktionsimporte, Speicherzuordnungen
    | oder Ähnliches, etwa wie es ein Betriebssystem ebenfalls mache, schreiben die
    | Sicherheitsexperten. Sobald der Schadcode im Speicher ist, werde er gestartet -
    | ohne eigenen Prozess oder Thread.

    Irgendeinen lokalen Code braucht es schon, um den Prozess bei jedem Booten zu starten und die anderen Komponenten vom Controlserver nachzuladen. Diese restlichen Module sind es dann, die nur im RAM landen und nicht auf der Platte.

    Gruß
    Hassashin

    --
    Lebenslanges Arbeitsverbot für alle bei vollem Lohnausgleich!

  4. Re: IAStorIcon.exe

    Autor: Endwickler 15.02.13 - 08:42

    Hassashin schrieb:
    --------------------------------------------------------------------------------
    > Endwickler schrieb:
    >
    > > Hm, ich hatte gelesen, dass es keine Datei auf der Platte ist, wie
    > sollte
    > > man sie dann löschen?
    > > Falls es jedoch eine Datei im Dateisystem eines Datenträgers gäbe, dann
    > > wäre das doch eine Falschbeschreibung im Artikel.
    >
    > Nö, steht doch groß und breit da:
    >
    > | Sie legen die ausführbare Datei Taskmgr.exe, die in Scode.dll eingebettet
    > ist, in
    > | einem Temp-Ordner ab und laden eine weitere Datei namens Explorer.exe
    > herunter,
    > | die wiederum als IAStorIcon.exe im Autostart-Ordner abgelegt wird.
    > | [...]
    > | Die Datei IAStorIcon.exe übernehme dabei Funktionsimporte,
    > Speicherzuordnungen
    > | oder Ähnliches, etwa wie es ein Betriebssystem ebenfalls mache, schreiben
    > die
    > | Sicherheitsexperten. Sobald der Schadcode im Speicher ist, werde er
    > gestartet -
    > | ohne eigenen Prozess oder Thread.
    >
    > Irgendeinen lokalen Code braucht es schon, um den Prozess bei jedem Booten
    > zu starten und die anderen Komponenten vom Controlserver nachzuladen. Diese
    > restlichen Module sind es dann, die nur im RAM landen und nicht auf der
    > Platte.

    Nicht immer sofort antworten. Ich brauche immer zwei Editierdurchgänge um alles zu entfernen, was ich im ersten Augenblick unsinnig schrieb. "Ohne eigenen Thread oder Prozess" ist, grob gesagt, trotzdem unverständlich. Sicher wird anscheinend keine neue ID erstellt, aber es läuft innerhalb eines Threads und somit ist das der dort eigene Thread.

  5. Re: IAStorIcon.exe

    Autor: DylanD09 15.02.13 - 10:29

    Ich denke, dass der nachgeladene Schadcode im eigenen Thread innerhalb des IAStorIcon.exe Prozesses läuft, aber der Thread dürfte von Virenscannern kaum zu erkennen/auffinden sein.

  6. Re: IAStorIcon.exe

    Autor: Endwickler 15.02.13 - 10:37

    DylanD09 schrieb:
    --------------------------------------------------------------------------------
    > Ich denke, dass der nachgeladene Schadcode im eigenen Thread innerhalb des
    > IAStorIcon.exe Prozesses läuft, aber der Thread dürfte von Virenscannern
    > kaum zu erkennen/auffinden sein.

    Das Problem sehe ich eher darin, dass das, was der eigentliche Schadcode ist, in keiner gestarteten Datei zu finden sein sollte. Hier muss vermutlich eine alternative Virusbekämpfung her, bei der statt der Virusdateien auch so etwas wie virusfördernde, virusstartende oder virusladende Dateien beachtet werden. Vermutlich wird einfach eine Einstufung als Backdoor oder so folgen. Das Problem kann auch sein, dass der nachgeladene Teil dann vielleicht auch für eine Veränderung des Startprogramms sorgt, so dass dieses sich vielleicht nach jedem Virusladevorgang ändern kann.

  7. Re: IAStorIcon.exe

    Autor: DylanD09 15.02.13 - 10:57

    Endwickler schrieb:

    > Das Problem sehe ich eher darin, dass das, was der eigentliche Schadcode
    > ist, in keiner gestarteten Datei zu finden sein sollte.

    Genau das meinte ich.

    > ...Einstufung als Backdoor oder so folgen. Das Problem kann auch sein, dass
    > der nachgeladene Teil dann vielleicht auch für eine Veränderung des
    > Startprogramms sorgt, so dass dieses sich vielleicht nach jedem
    > Virusladevorgang ändern kann.

    Wäre ein gutes Feature (aus der Sicht der Kriminellen). Es kann auch weiter auf die Spitze getrieben werden, mit encryption/packing des auf der Platte abgelegten codes etc..

  8. Re: IAStorIcon.exe

    Autor: rajan1 12.09.18 - 10:06

    Das Problem sehe ich, was ist der eigentliche bösartige Code, es ist nicht ein großes Problem, überprüfen Sie es
    https://unfitpc.com/iastoricon-exe Ich bin sicher, dass es dir wirklich hilft.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Amprion GmbH, Pulheim-Brauweiler
  2. BASF SE, Ludwigshafen am Rhein
  3. VBL. Versorgungsanstalt des Bundes und der Länder, Karlsruhe
  4. BWI GmbH, Ulm

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 339,00€ (Bestpreis!)
  2. 299,00€ (zzgl. Versand)
  3. (u. a. Civilization VI für 27,99€, Xcom 2 für 11,99€, Tropico 6 El Prez Edition für 36,99€)
  4. (u. a. Deapool 2, Vikings, X-Men Dark Phoenix, Terminator u.v.m.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Recruiting: Wenn das eigene Wachstum zur Herausforderung wird
Recruiting
Wenn das eigene Wachstum zur Herausforderung wird

Gerade im IT-Bereich können Unternehmen sehr schnell wachsen. Dabei können der Fachkräftemangel und das schnelle Onboarding von neuen Mitarbeitern zum Problem werden. Wir haben uns bei kleinen Startups und Großkonzernen umgehört, wie sie in so einer Situation mit den Herausforderungen umgehen.
Von Robert Meyer

  1. Recruiting Alle Einstellungsprozesse sind fehlerhaft
  2. LoL Was ein E-Sport-Trainer können muss
  3. IT-Arbeit Was fürs Auge

TVs, Konsolen und HDMI 2.1: Wann wir mit 8K rechnen können
TVs, Konsolen und HDMI 2.1
Wann wir mit 8K rechnen können

Ifa 2019 Die Ifa 2019 ist bezüglich 8K nüchtern. Wird die hohe Auflösung wie 4K fast eine Dekade lang eine Nische bleiben? Oder bringen kommende Spielekonsolen und Anschlussstandards die Auflösung schneller als gedacht?
Eine Analyse von Oliver Nickel

  1. Kameras und Fernseher Ein 120-Zoll-TV mit 8K reicht Sharp nicht
  2. Sony ZG9 Erste 8K-Fernseher werden bald verkauft
  3. 8K Sharp schließt sich dem Micro-Four-Thirds-System an

IT-Studium: Kein Abitur? Kein Problem!
IT-Studium
Kein Abitur? Kein Problem!

Martin Fricke studiert Informatik, obwohl er kein Abitur hat. Das darf er, weil Universitäten Berufserfahrung für die Zulassung anerkennen. Davon profitieren Menschen wie Unternehmen gleichermaßen.
Von Tarek Barkouni

  1. IT Welches Informatikstudium passt zu mir?
  2. Bitkom Nur jeder siebte Bewerber für IT-Jobs ist weiblich

  1. Adyen: Ebay Deutschland kassiert nun selbst
    Adyen
    Ebay Deutschland kassiert nun selbst

    Ebay verspricht seinen Verkäufern, dass die Kosten für sie sinken würden. Der Austausch von Paypal als wichtigsten Zahlungsabwickler läuft an.

  2. Android: Vivo stellt Smartphone mit ultraschmalem Display-Rahmen vor
    Android
    Vivo stellt Smartphone mit ultraschmalem Display-Rahmen vor

    Das neue Nex 3 von Vivo kommt wahlweise nicht nur mit 5G-Unterstützung, sondern auch mit einem auffälligen Display: Der Hersteller gibt den Anteil des Bildschirms an der Frontfläche mit 99,6 Prozent an. Möglich machen das ein stark gekrümmter Display-Rand und der Verzicht auf Knöpfe.

  3. BSI: iOS-App der Telekom für vertrauliche Gespräche freigegeben
    BSI
    iOS-App der Telekom für vertrauliche Gespräche freigegeben

    Neben Kryptohandys dürfen Behördenmitarbeiter nun auch auf iPhones Vertrauliches miteinander besprechen - vorausgesetzt, sie verwenden eine App der Telekom.


  1. 19:09

  2. 17:40

  3. 16:08

  4. 15:27

  5. 13:40

  6. 13:24

  7. 13:17

  8. 12:34